El US-CERT informa de dos nuevas vulnerabilidades de criticidad media que afectan a Apache Struts. En caso de ser explotadas provocarían que se tomara control del servidor afectado.

Las versiones afectadas por esta vulnerabilidad son todas las comprendidas entre la 2.5.0 y la 2.5.14.

La primera de las vulnerabilidades (S2-054), se encuentra en el plugin REST de Apache Struts y puede permitir a un atacante realizar un ataque DoS utilizando peticiones maliciosas. La segunda de las vulnerabilidades (S2-055) se encuentra en la librería JSON y se cree que está relacionada con la vulnerabilidad CVE-2017-7525.

Se recomienda que todos aquellos que tengan plataformas programadas en Apache Struts actualicen cuanto antes a la última versión, Struts 2.5.14.1, la cual ha sido lanzada específicamente para solucionar estas dos vulnerabilidades

Fuente: CSIRTCV